Antivirusvirksomheder verden over advarer mod internetormen Sasser, der er i fuld færd med at smitte uopdaterede Windows-pc'er med virus.
Ormen stak første gang sit grimme hoved frem fredag og findes allerede i tre varianter.
Sasser har indtil videre spredt sig til millioner af pc'er i Europa, Asien og USA, som kører Windows 2000 eller XP.
Sasser spreder sig automatisk, uden at brugeren behøver at gøre noget. Det er nok, at pc'en er koblet på internet.
Sasser minder dermed om netværksormen Blaster, som i august 2003 spredte sig mellem Windows-pc'er, som ikke var opdateret.
Den ny orm udnytter et af de 20 sikkerhedshuller, som Microsoft lukkede med rettelser den 13. april. Det betyder, at Windows-pc'er, der er blevet opdateret siden da, er beskyttet mod ormen.
Opdaterede pc'er uden for fare
Antivirus-firmaer mener dog ikke, at Sasser som en lige så stor trussel mod it-sikkerheden som eksempelvis ormen Mydoom, der hærgede computere verden over tidligere på året.
Det skyldes, at ormens kode er ret enkel at dæmme op for, hvis brugerne blot opdaterer deres system via Windows Update-tjenesten. En ubeskyttet pc, som går på nettet, risikerer dog meget hurtigt at blive inficeret med ormen, inden den når at hente opdateringerne.
Når den seneste variant af Sasser, C, har inficeret systemet, så starter den 1.024 program-tråde, som hver især forsøger at sende ormen videre til tilfældige IP-adresser, altså tilfældige computere på lokalnetværket og internettet. Det kan give en stor belastning på både den inficerede pc og på netværket.
Nok blot at være på nettet
Sasser går på jagt efter en uopdateret computer. Når den har fundet en sådan, sender den en særlig datapakke, som skaber et såkaldt buffer overflow.
Ormen spreder sig via lokalnetværk og internet gennem port 445. Ved at lukke for denne port med en firewall er det derfor muligt at dæmme op for den trafik, som ormen er skyld i. Uden en firewall vil en ubeskyttet pc blive inficeret automatisk.
Hvis pc'en er direkte forbundet til internettet via eksempelvis et ADSL-modem, så har ormen frit spil, hvis pc'en er tændt og ikke er opdateret med Microsofts fejlrettelser.
Når Sasser har inficeret en pc, vil den lytte efter kommandoer på port 9996 og derefter downloade selve programkoden via FTP på port 5554.
Ormen ødelægger ikke gemte data, men pc'en bliver næsten ubrugelig på grund af belastning af pc'en og internetopkoblingen.
Ifølge det finske antivirusfirma F-Secure forsøger gruppen bag Netsky-ormene at tage ansvaret for udsendelsen af Sasser-ormen. Det sker i en tekstbesked, som er indlejret i den seneste variant af Netsky.
Relevant link
